Como criptografar meu diretório / tmp?

6

Depois de ler esta pergunta sobre a frequência com que o tmp é limpo , seria melhor para nossa configuração se o tmp fosse criptografado. Como faço para criptografar?

Meu fstab é assim:

proc            /proc           proc    nodev,noexec,nosuid 0       0
/dev/mapper/vg_doulos-root /               ext4    errors=remount-ro 0       1
# /boot was on /dev/sda1 during installation
UUID=205a1a54-7dfa-45a6-a7e3-4a7234b3a473 /boot           ext4    defaults        0   2
/dev/mapper/vg_doulos-home /home           ext4    defaults        0       2
/dev/mapper/vg_doulos-tmp /tmp            ext4    defaults        0       2
# swap was on /dev/sda2 during installation
#UUID=705e9f69-bf95-4d44-9119-c40076d10333 none            swap    sw              0  0
/dev/mapper/cryptswap1 none swap sw 0 0

crypttab:

# <target name> <source device>         <key file>      <options>
cryptswap1 /dev/sda2 /dev/urandom swap,cipher=aes-cbc-essiv:sha256

É suficiente colocar algo assim no crypttab?

crypttmp /dev/mapper/vg_doulos-tmp /dev/urandom

e depois isto para substituir a entrada do arquivo tmp no fstab?

/dev/mapper/crypttmp /tmp ext4 defaults 0 2

    
por Avery Chan 31.05.2012 / 07:02

3 respostas

4

O encantamento correto no crypttab deve ser assim:

crypttmp /dev/mapper/vg_doulos-tmp /dev/urandom precheck=/bin/true,tmp,size=256,hash=sha256,cipher=aes-cbc-essiv:sha256

A parte mais importante foi o precheck=/bin/true . A razão pela qual o / tmp não estava montando era que o cryptsetup estava falhando devido a um pré-controle. A pré-verificação notou que a partição LVM foi formatada para ext4 e se recusou a continuar.

A entrada fstab deve ficar assim:

/dev/mapper/crypttmp /tmp ext4 defaults 0 2

    
por Avery Chan 05.06.2012 / 07:50
2

Começando com a resposta de Avery, (no Ubuntu 12.04) eu tive que especificar o tipo de sistema de arquivos com "tmp = ext4" para fazê-lo funcionar:

/ etc / cryptsetup:

crypttmp /dev/sdb /dev/urandom precheck=/bin/true,tmp=ext4,size=256,hash=sha256,cipher=aes-cbc-essiv:sha256

/ etc / fstab:

/dev/mapper/crypttmp /tmp ext4 noatime 0 2
    
por Stephen 04.03.2014 / 19:41
1

Acho que o seu direito deve ser o suficiente para adicionar no crypttab:

crypttmp  /dev/mapper/vg_doulos-tmp  /dev/urandom  tmp

e no fstab:

/dev/mapper/crypttmp  /tmp  ext4  defaults  0  0 

Cumprimenta

    
por Steve 31.05.2012 / 09:43